国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　另外一方面，該歹意軟件是基于時候觸發(fā)的，在特定的時候2013年3月20日下戰(zhàn)書14：00開端查抄系統(tǒng)的Windows版本，啟動一個線程來直接寫進(jìn)歹意軟件到硬盤中，粉碎MBR，該歹意軟件還主動查抄韓國的防病毒軟件AhnLabs，并且發(fā)現(xiàn)以后當(dāng)即禁用。

　　具體闡發(fā)：

　　據(jù) fireeye從樣本分析得出結(jié)論，在樣本中發(fā)現(xiàn)了HASTATI和PRINCPES兩個字符串，該字符出出自羅馬戎行，“HASTATI”是指羅馬戎行步兵戎行三大年夜隊(duì)列中最前面的前鋒戎行。這個詞的意思是第一列掉敗后，第2、第三列繼續(xù)戰(zhàn)役，所以多是在暗示會策動第2、第三輪黑客報復(fù)打擊。而 PRINCPES多是一個拼寫弊端，準(zhǔn)確的應(yīng)當(dāng)是Principes，Principes是指初期羅馬共和***隊(duì)中的長槍兵，后劍士，他們凡是位列在第二戰(zhàn)線。

　　該歹意軟件中存在一個計(jì)時器，在2013年3月20日下戰(zhàn)書14：00開端激活，該功能經(jīng)由過程GetLocalTime API實(shí)現(xiàn)，激活以后履行以下把持：

　　1) taskkill /F /IM pasvc.exe [AhnLab client]

　　2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客戶端過程，經(jīng)由過程taskkill結(jié)束pasvc.exe過程。

　　歹意軟件會主動辨認(rèn)受傳染機(jī)械的把持系統(tǒng)版本，假定是Windows Vista或以上，那該軟件會列舉把持系統(tǒng)上的所有文件，并且利用關(guān)頭字“HASTATI”或“PRINCPES”來籠蓋文件，然后刪除所有被籠蓋的文件，讓硬盤數(shù)據(jù)沒法恢復(fù)。假定發(fā)現(xiàn)把持系統(tǒng)是Vista之前的版本，則籠蓋硬盤的邏輯驅(qū)動器。

　　歹意軟件列舉所有物理驅(qū)動器并改寫MBR.

　　利用HASTATI關(guān)頭字粉碎MBR.

　　最后，經(jīng)由過程調(diào)用Winexec API履行shutdown -r -t 0，封鎖并重啟把持系統(tǒng)。

　　按照fireeye公司闡發(fā)，此次報復(fù)打擊韓國的算不上一個復(fù)雜的歹意軟件，主如果行動主如果粉碎硬盤，fireeye公司供給了一個YARA法則，來幫忙研究人員闡發(fā)該歹意軟件樣本，以下：

　　rule Trojan_Hastati{

　　meta：version = “1″

　　description = “Korean campaign

　　strings：

　　$str11 = “taskkill /F /IM clisvc.exe” “

　　$str2 = “taskkill /F /IM pasvc.exe”

　　$str3 = “ shutdown -r -t 0″

　　condition

　　all of them

　　}

　　注 1：AhnLab，中文名稱為：安博士。1995年成立的安博士有限公司是韓國首家從事開辟殺毒軟件的企業(yè)，其總部設(shè)在首爾，是全球首批展開信息安然手藝研發(fā)的企業(yè)之一。2000年10月在北京成立了中國代表處，發(fā)布正式進(jìn)進(jìn)中國安然市場，并于2003年成立了北京安博士公司。